Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix-Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-03-01.01 - Administrator 01.03.2012  18:45:26.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3046.2050 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: G DATA AntiVirus *Disabled/Updated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml139.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml13A.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml13B.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml7E.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml8.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml8A.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml9.tmp
c:\dokumente und einstellungen\***\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\system32\~.exe
c:\windows\system32\Cache
c:\windows\system32\mscomct2.dat
c:\windows\system32\msrfcint.dat
c:\windows\system32\ntrdectr.dat
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-01 bis 2012-03-01  ))))))))))))))))))))))))))))))
.
.
2012-02-29 07:45 . 2012-02-29 07:45	--------	d-----w-	C:\_OTL
2012-02-28 16:27 . 2012-02-28 16:27	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM
2012-02-28 16:19 . 2012-02-28 16:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-02-25 10:00 . 2012-02-25 10:00	--------	d-----w-	c:\programme\ESET
2012-02-22 11:37 . 2012-02-22 11:37	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-22 09:09 . 2012-02-22 09:09	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2012-02-22 08:54 . 2012-02-22 08:54	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2012-02-22 08:54 . 2012-02-22 08:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-22 08:54 . 2012-02-22 08:54	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-02-22 08:54 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-02-15 08:37 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-02-15 08:37 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
2012-02-06 11:03 . 2012-02-06 11:03	1409	----a-w-	c:\windows\QTFont.for
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-22 11:37 . 2010-04-26 06:44	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-21 09:51 . 2011-05-16 14:34	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20 . 2006-02-28 12:00	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-19 08:08 . 2006-02-28 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2011-12-19 08:08 . 2006-02-28 12:00	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2011-12-19 08:08 . 2006-02-28 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-12-19 08:08 . 2006-02-28 12:00	17408	------w-	c:\windows\system32\corpol.dll
2012-02-17 09:26 . 2011-05-06 08:59	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
1997-06-23 02:00	123664	--sha-w-	c:\windows\system32\Msjint35.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LinkMagic for magicolor 4690MF"="c:\programme\KONICA MINOLTA\magicolor 4690MF\LinkMagic for magicolor 4690MF\lmmc4690.exe" [2009-04-06 4857856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-06-15 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-06-15 86016]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-06-15 81920]
"IntelAudioStudio"="c:\programme\Intel Audio Studio\IntelAudioStudio.exe" [2006-06-07 9129984]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-05-14 98304]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
"G DATA AntiVirus Trayapplication"="c:\programme\GDATA-AntiVirus_2009\AVKTray\AVKTray.exe" [2008-10-29 955976]
"ipTray.exe"="c:\programme\Intel Desktop Utilities\ipTray.exe" [2009-01-22 1649152]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 213936]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2008-06-10 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2008-06-10 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1996-12-13 51984]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2010-1-21 110647]
EPSON Status Monitor 3 Environment Check(3).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2002-6-10 131584]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
NkvMon.exe.lnk - c:\programme\Nikon\NkView6\NkvMon.exe [2007-8-23 241664]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2009-11-06 297808]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave2"=AvmSnd.dll
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinTV Recording Status..lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinTV Recording Status..lnk
backup=c:\windows\pss\WinTV Recording Status..lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2005-10-14 18:00	118784	----a-w-	c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40	155648	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-01-10 16:51	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2005-10-14 18:00	1005386	----a-w-	c:\programme\Acronis\TrueImage\TrueImageMonitor.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\EPSON\\EBAPI\\eEBSvc.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\RadioRipper\\RadioRipper.exe"=
"c:\\Programme\\Foxit PDF Editor\\PDFEdit.exe"=
"c:\\Programme\\Sandra Lite 2010c_Systemanalyse\\RpcAgentSrv.exe"=
"c:\\Programme\\Sandra Lite 2010c_Systemanalyse\\WNt500x86\\sandra.07.mui"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Sandra Lite 2010c_Systemanalyse\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\KONICA MINOLTA\\Page Scope Netzwerkdienste\\nstool.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 stmtpm;STM TPM Service;c:\windows\system32\drivers\stm_tpm.sys [26.03.2007 21:02 21504]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [11.01.2009 19:47 68424]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [19.08.2008 16:20 1089608]
R2 AVKService;G DATA Scheduler;c:\programme\GDATA-AntiVirus_2009\AVK\AVKService.exe [19.08.2008 16:20 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\GDATA-AntiVirus_2009\AVK\AVKWCtl.exe [14.08.2008 08:55 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [05.01.2009 09:21 51016]
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [21.01.2010 14:27 434176]
R2 IduService;Intel(R) Desktop Utilities Service;c:\programme\Intel Desktop Utilities\iduServ.exe [22.01.2009 17:18 124928]
R2 KONICA MINOLTA PageScope Enterprise Suite Service;KONICA MINOLTA PageScope Enterprise Suite Service;c:\programme\KONICA MINOLTA\PageScope Enterprise Suite\bin\Release\PSESCoreScheduler.exe [24.09.2008 19:36 57344]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07.02.2007 15:57 35840]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [04.04.2007 16:13 48712]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [05.01.2009 09:21 32328]
S2 BulkUsb;Plustek USB Scanner;c:\windows\system32\drivers\usbscan.sys [04.12.2007 15:24 15104]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [31.01.2011 17:00 136176]
S2 SCANDEV;SCANDEV;c:\windows\system32\drivers\Scandev.SYS [04.12.2007 14:36 134284]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [31.01.2011 17:00 136176]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [21.01.2010 14:13 572416]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [21.01.2010 14:13 15616]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\Sandra Lite 2010c_Systemanalyse\RpcAgentSrv.exe [08.02.2010 15:07 93336]
S3 usb2vcom;USB to Serial Bridge Controller;c:\windows\system32\drivers\usb2vcom.sys [06.02.2008 10:07 28928]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 80010293
*Deregistered* - 80010293
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-31 16:00]
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-31 16:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.adobe.com/de/products/acrobat/readermain.html
TCP: DhcpNameServer = 192.168.254.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\h249qpx8.default\
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Abakus - c:\windows\unin0407.exe
AddRemove-BDE - c:\windows\unin0407.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
AddRemove-FRITZ! LAN Assistent - c:\windows\IsUn0407.exe
AddRemove-SHOAI70_KOMPAKT - c:\windows\iun6002.exe
AddRemove-SHOAI70_PRUEF - c:\windows\iun6002.exe
AddRemove-Volo View Express - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-01 18:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(964)
c:\windows\system32\AvmSnd.dll
.
- - - - - - - > 'lsass.exe'(1020)
c:\windows\system32\AvmSnd.dll
c:\windows\system32\relog_ap.dll
.
Zeit der Fertigstellung: 2012-03-01  18:54:09
ComboFix-quarantined-files.txt  2012-03-01 17:54
.
Vor Suchlauf: 16 Verzeichnis(se), 37.053.448.192 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 37.334.458.368 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - B366897FB7CBA3CBBB7D3EF6B46A2079